PowerPoint Presentation
1.11.3 El estado deseado Otras aproximacionesEstndares de
Calidad ISO (ISO 9001:2000)Six SigmaPublicaciones de NIST y ISFUS
Federal Information Security Management Act (FISMA) Copyright 2013
ISACA. Todos los derechos reservados.2Directivas para el
instructor:
Pginas de Referencia del Manual de Preparacin al Examen: Pag.
53-56
1.11.4 Objetivos de riesgoDebe alcanzar un nivel de riesgo que
la gerencia considere aceptable. Un riesgo aceptable definido
determinar los objetivos de control u otras medidas de mitigacin
del riesgo utilizadas. A su vez, los objetivos de control sern
crticos para determinar el tipo, la naturaleza y el alcance de los
controles y contramedidas que utilizar la organizacin para
administrar el riesgo.Una forma con la que cuenta el administrador
de seguridad de la informacin para resolver la cuestin del riesgo
aceptable es mediante el desarrollo de Tiempo Objetivo de
Recuperacin (RTOs) que indica el tiempo apropiado de intervencin
(por ejemplo, durante un apagn).
Copyright 2013 ISACA. Todos los derechos reservados.3Directivas
para el instructor:
Pginas de Referencia del Manual de Preparacin al Examen: Pgs.
56-57
1.11.4 Objetivos de riesgo Desarrollar los objetivos de
estrategia correctos:Por lo general requiere de un enfoque
iterativoBasado en un anlisis de costos para alcanzar el estado
deseado y los niveles de riesgo aceptableLos controles fsicos, de
procesos y procedimientos pueden ser ms efectivos y menos costosos.
A menudo los riesgos de procesos implican el mayor peligro Los
controles tcnicos probablemente no compensan adecuadamente la
gestin deficienteCopyright 2013 ISACA. Todos los derechos
reservados.4Directivas para el instructor:
Pginas de Referencia del Manual de Preparacin al Examen: Pgs.
56-57
1.12 Determinacin del estado actual de la seguridadLa
determinacin del estado actual de la seguridad de la informacin
otra actividad crtica: Las mismas metodologas o la combinacin de
stas que se aplic para definir los objetivos de la estrategia o el
estado deseado.Copyright 2013 ISACA. Todos los derechos
reservados.5Directivas para el instructor:
Pginas de Referencia del Manual de Preparacin al Examen: Pg.
571.12.1 Riesgo actualEl estado de riesgo actual se debe determinar
mediante una evaluacin integral de riesgosDespus de la Valorizacin
del Riesgo, debe ejecutarse una evaluacin/anlisis de impacto al
negocio (BIA)Mostrar el impacto de eventos adversos (por ejemplo,
apagones) sobre diferentes perodos de tiempo.Arrojar parte de la
informacin que se requiere para desarrollar una estrategia
eficaz.El objetivo final de seguridad es brindar confianza en el
proceso de negocio y minimizar el impacto que puedan ocasionar los
incidentes adversos.La estrategia debe resolver la diferencia entre
niveles aceptables de impacto y el nivel actual de posibles
impactos.
Copyright 2013 ISACA. Todos los derechos reservados.6Directivas
para el instructor:La evaluacin del estado actual tambin debe
incluir un BIA exhaustivo para ayudar a terminar de conformar la
imagen del estado actual. Puesto que el objetivo final de la
seguridad es brindar confianza en el proceso de negocio y minimizar
el impacto que puedan ocasionar los incidentes adversos, un anlisis
de impacto arrojar parte de la informacin que se requiere para
desarrollar una estrategia efectiva. La estrategia debe resolver la
diferencia entre niveles aceptables de impacto y el nivel actual de
posibles impactos.
Pginas de Referencia del Manual de Preparacin al Examen: Pg.
57
1.13 Desarrollo de la estrategia de seguridad de la
informacinPara moverse del estado actual al estado deseado. Base
para elaborar una hoja de ruta. Un conjunto de objetivos de
seguridad de la informacin junto con procesos, mtodos, herramientas
y tcnicas disponibles proporcionan los medios para elaborar una
estrategia de seguridad.
Copyright 2013 ISACA. Todos los derechos reservados.7Directivas
para el instructor:Con la informacin tratada en la seccin anterior,
se puede desarrollar una estrategia de seguridad significativauna
estrategia para ir del estado actual al estado deseado. Saber dnde
nos encontramos y hacia dnde nos dirigimos proporciona un punto de
partida esencial para el desarrollo de la estrategia; facilita el
marco para crear un plan de accin. El plan de accin corresponde
esencialmente a los pasos que se deben dar para implementar la
estrategia.
Un conjunto de objetivos de seguridad de la informacin junto con
procesos, mtodos, herramientas y tcnicas disponibles proporcionan
los medios para elaborar una estrategia de seguridad. Una buena
estrategia de seguridad debe tratar y mitigar riesgos y al mismo
tiempo cumplir con los requerimientos legales, contractuales y
regulatorios del negocio, as como brindar un apoyo comprobable a
los objetivos de la organizacin y maximizar el valor para aquellos
que tengan algn inters en la organizacin. La estrategia de
seguridad tambin necesita considerar de qu manera la organizacin va
a incluir prcticas sanas de seguridad en cada uno de los procesos y
reas de negocio.
Pginas de Referencia del Manual de Preparacin al Examen: Pg.
58
1.13.1 Elementos de una estrategiaUna estrategia de seguridad
necesita incluir:Recursos necesarios Limitaciones Hoja de
ruta:Incluye personas, procesos, tecnologas y otros recursos Una
arquitectura de seguridad para definir los impulsores del negocio,
las relaciones de recursos y los flujos de procesos Alcanzar el
estado deseado ser una meta a largo plazo de una serie de
proyectos.
Copyright 2013 ISACA. Todos los derechos reservados.8Directivas
para el instructor:
Pginas de Referencia del Manual de Preparacin al Examen: Pag.
58
1.13.2 Recursos y limitaciones de la estrategiaVisin generalLos
recursos
incluyen:PolticasEstndaresProcedimientosGuasArquitectura(s)Controlesfsicos,
tcnicos, y procedimentalesContramedidasDefensas en
capasTecnologasSeguridad del personalEstructura organizacionalRoles
y responsabilidadesHabilidadesCopyright 2013 ISACA. Todos los
derechos reservados.9Directivas para el instructor:
Pginas de Referencia del Manual de Preparacin al Examen: Pag.
59
CapacitacinConcienciacin y formacinAuditorasExigencia de
cumplimientoAnlisis de amenazasAnlisis de vulnerabilidadesEvaluacin
de riesgoEvaluacin de impacto al negocioAnlisis de dependencia de
recursosProveedores de servicios externosOtros proveedores de
soporte y aseguramiento organizacionalInstalacionesSeguridad
ambiental1.13.2 Recursos y limitaciones de la estrategiaVisin
generalCopyright 2013 ISACA. Todos los derechos
reservados.10Directivas para el instructor:
Pginas de Referencia del Manual de Preparacin al Examen: Pag.
59